Plus de 20 applications malveillantes sur Google Play ciblent les utilisateurs pour des phrases clés

Une enquête récente menée par la société de renseignement sur les menaces Cyble a repéré une campagne ciblant les utilisateurs de crypto-monnaie via le Google Play Store avec plus de 20 applications Android malveillantes.

Ces applications, déguisées en portefeuilles cryptographiques de confiance comme SushiSwap, PancakeSwap, Hyperliquid et Raydium, ont été découvertes en train de récolter les phrases mnémotechniques de 12 mots des utilisateurs, les clés qui débloquent leurs fonds cryptographiques.

Ces applications imitent les interfaces de portefeuilles légitimes, incitant les utilisateurs à saisir des phrases de récupération sensibles. Une fois saisies, les pirates peuvent accéder aux portefeuilles réels et les vider. Si Google a supprimé bon nombre de ces fausses applications suite au rapport de Cyble, quelques-unes restent actives sur la boutique et ont été signalées comme devant être supprimées.

Selon le rapport de Cyble partagé avec Hackread.com, les applications frauduleuses portent les noms et les icônes de plateformes cryptographiques connues et apparaissent sous des comptes de développeurs hébergeant auparavant des applications authentiques, notamment des jeux, des téléchargeurs de vidéos et des outils de streaming. Ces comptes, dont certains totalisent plus de 100 000 téléchargements, semblent avoir été piratés et réaffectés à la distribution des applications malveillantes.

Dans plusieurs cas, les applications utilisent un outil de développement appelé « Median Framework » pour transformer rapidement des sites web d'hameçonnage en applications Android. Ces applications chargent ces pages d'hameçonnage directement dans une WebView, une fenêtre de navigateur intégrée, qui demande aux utilisateurs leur phrase mnémotechnique sous couvert d'accès au portefeuille.

La campagne est non seulement de grande ampleur, mais aussi coordonnée dans son infrastructure. Un domaine de phishing découvert par Cyble était lié à plus de 50 domaines similaires, tous participant d'une même initiative visant à compromettre la sécurité des portefeuilles.

Les chercheurs de Cyble ont également observé une tendance dans le fonctionnement de ces fausses applications. Nombre d'entre elles incluent dans leurs politiques de confidentialité des liens qui mènent en réalité à des sites d'hameçonnage conçus pour voler les phrases de récupération de portefeuille des utilisateurs. Les applications ont également tendance à adopter des noms similaires, ce qui suggère l'utilisation d'outils automatisés pour leur création et leur publication rapides.

De plus, plusieurs applications sont connectées aux mêmes serveurs ou sites web, montrant ainsi leur appartenance à un effort plus vaste et organisé. Voici quelques-uns des faux domaines liés à ces applications :

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Ces domaines se font passer pour divers fournisseurs de portefeuilles et diffusent des pages destinées à inciter les utilisateurs à fournir leurs phrases de départ. La liste partielle des applications malveillantes, fournie par Cyble, est disponible ci-dessous :

1. Raydium
2. SushiSwap
3. Portefeuille Suiet
4. Hyperliquid
5. BullX Crypto
6. Échange de crêpes
7. Meteora Exchange
8. OpenOcean Exchange
9. Blog sur les finances de la récolte

Malgré les efforts déployés pour supprimer ces applications, la campagne se poursuit. À la date de publication de ce rapport, quelques-unes restent actives sur le Play Store. La réplication rapide de ces applications à l'aide de frameworks standard suggère que les attaquants pourraient facilement créer d'autres fausses applications si elles ne sont pas rapidement bloquées.

Cela représente un risque sérieux. Contrairement aux banques traditionnelles, il n'existe aucun filet de sécurité contre le vol de cryptomonnaies. Une fois un portefeuille vidé, les fonds sont quasiment impossibles à récupérer.

Cyble a partagé des indicateurs détaillés de compromission (IOC), notamment les noms d'applications, les identifiants de packages et les domaines de phishing, que les professionnels de la sécurité peuvent utiliser pour bloquer ou enquêter plus en profondeur.

Cette campagne illustre comment les attaquants continuent de cibler l'espace crypto, déjà vulnérable, via des canaux officiels comme les plateformes d'applications. Tandis que les plateformes d'applications s'efforcent de détecter les téléchargements malveillants, les utilisateurs restent les cibles de ces cybermenaces . Il est donc vivement conseillé aux utilisateurs d'être vigilants et de suivre les étapes suivantes pour se protéger :

Soyez attentif aux signaux d’alarme tels que le faible nombre d’avis, les applications récemment republiées ou les liens vers des domaines étranges dans les politiques de confidentialité.

• Évitez de télécharger et d’installer des applications inutiles.

• Activez Google Play Protect pour vous aider à identifier les applications potentiellement dangereuses.

• Utilisez la sécurité biométrique et l’authentification à deux facteurs lorsque cela est possible.

• Soyez toujours prudent lorsque vous téléchargez des applications provenant de magasins tiers ou officiels.

• Ne saisissez jamais votre phrase de 12 mots dans une application ou un site Web, sauf si vous êtes certain qu'elle est légitime.